Comretix Blog

Die Worte, die der Bundesrechnungshof kürzlich in einem internen, geleakten Bericht für die Cybersicherheit des Bundes fand, sind hart, aber notwendig: "Die IT des Bundes ist nicht bedarfsgerecht geschützt. Haushaltsmittel alleine schaffen keine Cybersicherheit."

Danach folgt Backpfeife um Backpfeife in einem Bericht, der nicht nur ITlern die Haare zu Berge stehen lässt. Nicht einmal zehn Prozent der über einhundert deutschlandweit verteilten Rechenzentren, auf denen die IT des Bundes aufbaut, erfüllen die Mindeststandards für den Krisenfall.

Soweit man weiß jedenfalls, denn bereits die Informationslage ist mangelhaft: Dem BSI, das die Sicherheit der staatlichen Rechenzentren überprüft, fehlt es an Kontrolleuren. Erst 20 von 112 Prüfer-Stellen sind besetzt, nur drei kümmern sich um das gesamte Bundesgebiet. Dass manche Rechenzentren noch nicht einmal genug Treibstoff für die vorgeschriebene Notstromversorgung besitzen, ist daher nur die Spitze des Eisbergs. Wie viele der tragenden IT-Säulen marode sind, ist also nicht einmal völlig klar.

Cisco hat vier neue Sicherheitsmitteilungen veröffentlicht und eine ältere aktualisiert. Eine der behandelten Schwachstellen erhält die Einstufung als kritisches Risiko mit Höchstwertung. Eine weitere der Lücken gilt als hochriskant.

In Ciscos Identity Services Engine (ISE) können Angreifer aus dem Netz ohne vorhergehende Authentifizierung Befehle ins Betriebssystem einschleusen, die im Kontext des root-Users ausgeführt werden. Die Sicherheitsmitteilung stammt ursprünglich von Ende Juni. Jetzt hat Cisco ihr jedoch ein Update verpasst und den bislang bekannten Schwachstellen mit den Nummern CVE-2025-20281 und CVE-2025-20282 den neuen Eintrag CVE-2025-20337 / EUVD-2025-21708 beiseitegestellt. "Angreifer benötigen keinerlei gültige Zugriffsdaten, um die Lücke zu missbrauchen. [..] Sie können sie durch das Senden einer manipulierten API-Anfrage ausnutzen. Bei Erfolg erhalten Angreifer root-Rechte auf betroffenen Geräten", erklärt Cisco dazu. Betroffen sind Cisco ISE und ISE-PIC 3.3 und 3.4, die Versionen 3.3 Patch 7 sowie 3.4 Patch 2 schließen die neu bekannt gewordene Sicherheitslücke.

In Ciscos Unified Intelligence Center können Angreifer mit gültigem Zugang hingegen aufgrund einer Schwachstelle im Web-basierten Management-Interface beliebige Dateien auf verwundbare Systeme hochladen. "Ein erfolgreicher Exploit erlaubt Angreifern, bösartige Dateien im System abzulegen und beliebige Befehle im Betriebssystem auszuführen", erklärt Cisco in der Sicherheitsmitteilung. Zum Missbrauch müssen bösartige Akteure mindestens Zugriff auf Ebene "Report Designer" haben (CVE-2025-20274 / EUVD-2025-21714, CVSS 6.3, Risiko laut Cisco jedoch "hoch"). Das höher eingestufte Risiko erklärt Cisco damit, dass Angreifer ihre Rechte zu root ausweiten können.

Cisco hat noch weitere Schwachstellen gemeldet, die der Hersteller mit Updates ausbessert.

IT-Verantwortliche sollten die Aktualisierungen für bei ihnen eingesetzte Geräte zeitnah anwenden.

Oracle hat in der Nacht zum Mittwoch seinen quartalsweise stattfindenden "Critical Patch Update" genannten Patchday begangen. Dabei hat das Unternehmen 309 Sicherheitspatches für Produkte quer durch sein Portfolio veröffentlicht.

In der Übersicht zum Oracle CPU im Juli listet das Unternehmen die einzelnen Schwachstellen in den Produkten auf. Von den 309 Schwachstellen stufen Oracles Entwickler neun als kritisches Risiko ein. Weitere 144 gelten als hochriskant und haben einen CVSS-Wert von 7.0 bis 8.9. Die meisten dieser Lücken lassen sich von Angreifern aus dem Netz missbrauchen, in weiten Teilen ohne Privilegien am System, also etwa ohne vorherige Authentifizierung.

Insgesamt 111 Produkte sind laut Oracles Auflistung von Sicherheitslücken betroffen. IT-Verantwortliche sollten prüfen, ob sie davon welche einsetzen, und die verfügbaren Updates zügig installieren. Oracle weist zudem darauf hin, dass ausschließlich für Produkte Updates bereitstehen, die noch "Premier Support" erhalten oder in der erweiterten Support-Phase sind; wer ältere Softwarestände einsetzt, sollte zunächst auf noch unterstützte Fassungen aktualisieren.

Der vorherige Oracle CPU fand im April statt. Da musste der Hersteller sogar 378 Schwachstellen ausbessern. Der Großteil davon ließ sich da aus der Ferne ohne vorherige Anmeldung ausnutzen.

Microsoft bringt die mitgelieferten Standard-Apps auf den Windows-Installationsmedien auf aktuellen Stand. Außerdem liefert das Unternehmen nun auch Hotpatching für ARM-Prozessor-basierte Windows-PCs.

Das hat Microsoft im Message-Center der Windows-Release-Health-Notizen angekündigt. Das Unternehmen erklärt zu den Installationsmedien, dass mit Medien für Windows 11 24H2 sowie Windows Server 2025, die nach dem Juni 2025 erstellt wurden, die neuen Programm-Versionen direkt verfügbar sind. Sie brauchen dann keine unmittelbare Aktualisierung aus dem Microsoft Store. Das soll für ein sichereres, Richtlinien-getreues und nutzerfreundliches Deployment sorgen. Die Apps schließen in den aktualisierten Fassungen unter anderem Sicherheitslücken.

Bislang waren die Release-to-manufacturing-Fassungen (RTM) auf den Medien vorzufinden. Betroffen sind unter Windows 11 Alarms & Clock, App Installer, AV1 Video Extension, AVC Encoder Extension, Bing Search, Calculator, Camera, Clipchamp, Cross Device Experience Host, Get Help, HEIF Image Extension, HEVC Video Extension, Media Player, Microsoft Store, Microsoft To Do, Notepad, Office Hub, Paint, Phone Link, Photos, Power Automate, Quick Assist, Raw Image Extension, Snipping Tool, Solitaire Collection, Sound Recorder, Sticky Notes, Store Purchase App, VP9 Video Extension, Weather, Web Media Extensions, WebP Image Extension, Windows Security, Windows Web Experience Pack, Xbox Game Bar und Xbox Speech-to-Text-Overlay – insgesamt 36 Apps. Bei Windows Server 2025 ist die Liste deutlich übersichtlicher, hier sind die aktuellen Fassungen von App-Installer und Windows Security dabei.

Außerdem verkündet Microsoft die allgemeine Verfügbarkeit von Hotpatching für Windows 11 24H2 auf ARM64-Geräten. Für AMD- und Intel-basierte X64-Rechner hatte Microsoft bereits im April Hotpatching freigegeben. Seitdem beobachtet das Unternehmen eine rasant steigende Nutzung der Hotpatching-Funktion. Millionen von Geräten und Tausende von Kunden haben bereits Hotpatches in den Hotpatch-Update-Monaten erhalten.

Die Hotpatches ermöglichen die Installation und Aktivierung von Sicherheitsupdates, ohne dass ein Geräteneustart nötig wäre. Die sieht Microsoft für Hotpatch-aktivierte Geräte nur noch viermal im Jahr vor, anstatt bislang jeden Monat zu den Sicherheitsupdates zum Patchday. Um Hotpatching auf ARM-Geräten zu nutzen, müssen Interessierte jedoch "Compiled Hybrid Portable Executable" (CHPE) deaktivieren. Das ist ein Kompatibilitäts-Layer zur Ausführung von x86-Binärdateien auf den ARM-PCs.

Deutsche und internationale Strafverfolgungsbehörden sind bei einer gemeinsamen Aktion gegen die Hacker-Gruppe "NoName057(16)" vorgegangen. Nach Angaben des Bundeskriminalamts (BKA) wurde dabei ein aus weltweit verteilten Servern bestehendes Botnetz abgeschaltet, das für gezielte digitale Überlastungsangriffe auf Internetseiten (dDoS) eingesetzt wurde.

Das BKA nennt NoName057(16) ein "ideologisch geprägtes Hacktivisten-Kollektiv", das als Unterstützer Russlands Cyberangriffe durchführt. Mit seinen Aktionen reagiere die Gruppe auf politische Ereignisse.

Seit Beginn der Ermittlungen im November 2023 sei Deutschland das Ziel von insgesamt 14 Angriffswellen der Gruppe gewesen, so das BKA weiter. Die Aktionen zielten darauf ab, das gesamtgesellschaftliche und politische Gefüge der Bundesrepublik nachhaltig zu stören. Auch Ziele in anderen Ländern hatte die Gruppe im Visier.

Die Attacken hätten teilweise mehrere Tage gedauert und insgesamt rund 250 Unternehmen und Einrichtungen betroffen. Zu den Zielen in Deutschland gehörten demnach Unternehmen der kritischen Infrastruktur (u. a. Rüstungsbetriebe, Stromversorger, Verkehrsbetriebe), öffentliche Einrichtungen und Behörden. Die Angriffe auf Websites verschiedener Bundesländer im Frühjahr 2023 werden ebenfalls der Gruppe zugerechnet.

Die Gruppe habe seit Beginn des russischen Angriffskriegs in der Ukraine öffentliche Aufmerksamkeit über Messenger erregt und Unterstützer rekrutiert. Nach Einschätzung der Strafverfolgungsbehörden umfasst das Unterstützernetzwerk mehr als 4000 Nutzer.

In VMware ESXi, Workstation, Fusion und Tools hat der Hersteller Broadcom vor zum Teil kritischen Sicherheitslücken gewarnt. Die Entwickler haben aktualisierte Softwarepakete geschnürt, die die Schwachstellen ausbessern sollen.

In der Sicherheitsmitteilung von Broadcom erläutern sie die vier neu entdeckten Sicherheitslücken. In VMware ESXi, Workstation und Fusion können Angreifer mit Admin-Rechten in einer VM mit einem virtuellen VMXNET3-Netzwerkadapter einen Integer-Überlauf provozieren. Dadurch können sie Code im Host-System ausführen (CVE-2025-41236 / EUVD-2025-21544, CVSS 9.3, Risiko "kritisch"). In derselben Software lässt sich zudem ein Integer-Unterlauf im VMCI-Code (Virtual Machine Communication Interface) auslösen, der zu Schreibzugriffen außerhalb vorgesehener Speicherbereiche führt. Admins in einer VM können dadurch Code mit den Rechten des VMX-Prozesses auf dem Host ausführen (CVE-2025-41237 / EUVD-2025-21543, CVSS 9.3, Risiko "kritisch").

Die dritte kritische Schwachstelle findet sich im paravirtualisierten SCSI-Controller (PVSCSI) von den drei Produkten. Admins in virtuellen Maschinen können einen Heap-basierten Pufferüberlauf darin provozieren und in dessen Folge außerhalb vorgesehener Speichergrenzen schreiben. Damit können sie Code mit den Rechten des VMX-Prozesses auf dem Host laufen lassen. Auf VMware ESXi soll die VMX-Sandbox Exploits in Schach halten und die Lücke nur in nicht unterstützten Konfigurationen missbrauchbar sein (CVE-2025-41238 / EUVD-2025-21542, CVSS 9.3, Risiko "kritisch").

Als letzte Lücke meldet Broadcom eine Nutzung von nicht initialisiertem Speicher in vSockets von VMware ESXi, Workstation, Fusion und den VMware Tools. Bösartige Akteure mit Admin-Rechten in einer VM können das missbrauchen, um Speicherbereiche aus Prozessen, die mit vSockets kommunizieren, auszuleiten und zu lesen .

In der Sicherheitsmitteilung listet Broadcom die genauen betroffenen VMware-Produktversionen auf und verlinkt zudem die aktualisierten Softwarepakete. Da die Sicherheitslücken zum Großteil als kritisches Risiko gelten, sollten Admins nicht lange zögern, sondern die Updates zeitnah installieren.

In der vorhergehenden Folge wurde es bereits angedroht versprochen, nun ist es tatsächlich so weit: Eine ganze Folge mit Neuigkeiten über Public-Key-Zertifikate. Los geht es aber nicht mit der Web-PKI, sondern einem Anbieter von VoIP-Telefonen, der die Konfiguration dieser Telefone – verständlicherweise – mit Zertifikaten absichert. Leider enthält jedes Telefon auch gleich eine passende Zertifizierungsstelle samt privatem Schlüssel – was weit weniger verständlich und vor allem sehr unsicher ist. Die Podcast-Hosts Christopher und Sylvester diskutieren, was es damit auf sich hat.

Erneut muss Google Sicherheitslücken im Webbrowser Chrome abdichten, von denen eine in freier Wildbahn bereits von Angreifern missbraucht wird. Wer Chrome nutzt, sollte sicherstellen, dass der Browser in aktueller Version läuft.

In der Versionsankündigung schreibt Google, dass das Update insgesamt sechs Schwachstellen ausbessert. Lediglich zu dreien davon gibt Google Hinweise auf deren Natur, die wurden offenbar von externen IT-Sicherheitsforschern gemeldet. Die Entwickler stufen alle drei als hohes Risiko ein. "Google ist bekannt, dass ein Exploit für CVE-2025-6558 in freier Wildbahn existiert", schreiben die Entwickler dort förmlich. Zuletzt hatte Google vor rund zwei Wochen eine bereits von bösartigen Akteuren missbrauchte Schwachstelle im Chrome-Browser stopfen müssen.

"Inkorrekte Prüfung von nicht vertrauenswürdigen Eingaben in ANGLE und GPU" beschreibt Google die angegriffene Sicherheitslücke knapp (CVE-2025-6558 / EUVD-2025-21546, CVSS 8.8, Risiko "hoch"). Hinter ANGLE verbirgt sich die von Google entwickelte "Almost Native Graphics Layer Engine", die standardmäßig als WebGL-Backend in Chrome (und in Firefox) zum Einsatz kommt und Grafik-Funktionsaufrufe etwa in DirectX, OpenGL oder ähnliche Abstraktionsschichten übersetzt. GPU ist hingegen der beschleunigte Compositor im Browser.

Zudem können Angreifer einen Integer-Überlauf in der Javascript-Engine V8 missbrauchen (CVE-2025-7656 / EUVD-2025-21547, CVSS 8.8, Risiko "hoch") sowie eine Use-after-free-Lücke in WebRTC (CVE-2025-7657 / EUVD-2025-21545, CVSS 8.8, Risiko "hoch"). Details nennt Google nicht, aber in der Regel können Angreifer derart eingestufte Sicherheitslücken etwa mit manipulierten Webseiten angreifen und dabei eingeschleusten Schadcode ausführen.

Die fehlerbereinigten Browser-Versionen sind Chrome 138.0.7204.157 für Android, 138.0.7204.156 für iOS, 138.0.7204.157 für Linux und 38.0.7204.157/.158 für macOS und Windows.

Die US-Bundespolizei Federal Bureau of Investigation (FBI) hat mehrere Online-Marktplätze mit illegalen Kopien von Videospielen hat beschlagnahmt. Wie das FBI Ende vergangener Woche mitteilte, wurde das FBI-Büro in Atlanta bei den Emittlungen von der niederländischen Steuerfahndung Fiscale Inlichtingen- en Opsporingsdienst (FIDO) unterstützt.

Das FBI hat eigenen Angaben zufolge die Domains beschlagnahmt und die Infrastruktur der Webseiten abgeschaltet. Auf den betroffenen Seiten seien seit mehr als vier Jahren widerrechtliche Kopien von stark nachgefragten Spielen Tage oder gar Wochen vor dem offiziellen Veröffentlichungstermin erhältlich gewesen. Zwischen dem 28. Februar und 28. Mai dieses Jahres seien 3,2 Millionen Downloads über diese Seiten erfolgt. Das FBI beziffert den Schaden auf rund 170 Millionen US-Dollar.

Das FBI hat die Domains mehrerer Webseiten beschlagnahmt, darunter "nsw2u.com", "nswdl.com", "game-2u.com", "bigngame.com", "ps4pkg.com", "ps4pkg.net" und "mgnetu.com". Diese Domains haben demnach Zugriff auf die gehosteten Videospiele gewährt. Wer diese Webseiten jetzt ansurft, bekommt das FBI-Banner zur Beschlagnahmung der Domain zu Gesicht.

Zu den Drahtziehern und Betreibern hinter diesen Angeboten macht das FBI keine Angaben. Es ist nicht erkenntlich, ob den Strafverfolgern dazu keine Informationen vorliegen oder die Täter schlicht nicht greifbar sind.

Nicht nur US-amerikanische Strafverfolger können Erfolge gegen Kriminelle vorweisen. Ende Mai hat etwa Europol zusammen mit Microsoft die Lumma-Malware zerschlagen. Die hatte fast 400.000 PCs infiziert und dort Zugangsdaten, Kryptowährungen und Dokumente gestohlen.

„Hass im Netz, digitale Gewalt, Hasskommentare, das macht etwas mit allen, die davon betroffen sind“, sagt Josephine Ballon, Geschäftsführerin der Organisation HateAid. Die Zahlen des Bundeskriminalamts bestätigen das Problem: Die bei der Polizei gemeldeten strafbaren Hassbeiträge haben sich zwischen 2021 und 2024 vervierfacht. Doch was ist rechtlich überhaupt strafbar und wie können sich Betroffene wehren? Im heise-Podcast "Bits & Böses" erklären Expertinnen und Experten, welche Werkzeuge es gegen digitale Gewalt gibt.

Die rechtliche Einordnung ist oft schwierig, erklärt Joerg Heidrich, Rechtsanwalt und Justiziar für heise medien. Es kollidieren zwei Grundrechte: die Meinungsfreiheit und das Persönlichkeitsrecht. Die Grenze sei dort überschritten, "wo es nicht mehr darum geht, sich mit einer Meinung, mit einer Tatsache auseinanderzusetzen, sondern wo es offensichtlich nur um die Schmähung von einer Person geht." Straftatbestände wie Beleidigung, üble Nachrede, Verleumdung oder Bedrohung seien klar, doch gerade bei politischen Auseinandersetzungen sei der Grat schmal. Bei vielen Äußerungen, von denen "in der Bevölkerung angenommen wird, das sei schon strafbar, ist meistens noch ordentlich Luft nach oben", so Heidrich.

Organisationen wie HateAid unterstützen Menschen, die von digitaler Gewalt betroffen sind. "Wir unterstützen Menschen dabei, dass sie trotz digitaler Gewalt, trotz Hass und Anfeindungen, denen sie tagtäglich im Netz ausgesetzt sind, sich nicht zurückziehen müssen", erklärt Geschäftsführerin Josephine Ballon. HateAid bietet psychosoziale Beratung, hilft bei der Sicherung persönlicher Daten und finanziert über ein Solidaritätsprinzip Prozesskosten. Oft geht es den Betroffenen nicht um eine Geldentschädigung, sondern darum, sich überhaupt wehren zu können. Ballon betont die kleinen Erfolge: "Das sind dann Erfolge, wo Menschen zunächst gar nicht daran geglaubt haben, dass überhaupt irgendwas passiert und dann vor Freude schon fast platzen, weil sie das erste Mal das Gefühl haben, dass sie tatsächlich sich wehren konnten."

Ein besonders gravierendes Problem stellen Deepfakes dar, vor allem KI-generierte Bilder oder Videos, die Menschen in herabwürdigender oder sexualisierter Weise zeigen. Hier sieht Jurist Joerg Heidrich eine gefährliche Gesetzeslücke. Der aktuelle Straftatbestand fordere das "Herstellen einer Bildaufnahme", ein KI-generiertes Bild falle aber nicht unter diese Definition. "Das heißt, wir brauchen hier vermutlich ein neues Gesetz." Ein erster Gesetzesentwurf aus Bayern sei jedoch untauglich gewesen, da er auch harmlose KI-Bilder wie den Papst auf einem Drachen unter Strafe gestellt hätte. Nötig sei eine Regelung, die gezielt die Erstellung von Inhalten verbietet, "um jemanden zu verletzen in sexualisierter Absicht".

Microsoft erinnert an das dräuende Support-Ende von Windows 10 22H2 in 90 Tagen. Zudem konkretisiert der Hersteller den Zeitplan für die Unterstützung von Microsoft-365-Apps unter dem alten Betriebssystem.

Im Message-Center der Windows-Release-Health-Seiten hat Microsoft an das Ende von Windows 10 erinnert. Am 14. Oktober, also in 90 Tagen, ist das Service-Ende von Windows 10 22H2 in den Editionen Home, Pro, Enterprise, Education und IoT Enterprise, bekräftigen die Redmonder. Zugleich bedeutet das auch das Support-Ende von Windows 10 2015 LTSB und Windows 10 IoT Enterprise LTSB 2015. Im Oktober erhalten diese Versionen ihr letztes Sicherheitsupdate, danach gibt es keine Aktualisierungen mehr dafür, um sie vor den jüngsten Sicherheitsbedrohungen zu schützen.

Es gebe aber die Option, auch privat genutzte Windows-10-PCs im erweiterten Support-Programm (Extended Security Updates, ESU) teilnehmen zu lassen. Details dazu hat Microsoft Ende Juni erörtert. Privatkunden können sogar "kostenlos" ein Jahr länger Sicherheitsupdates erlangen, müssen dafür jedoch Online-Dienste von Microsoft nutzen und dort Daten hinterlassen.

Bislang fand ein weiteres Support-Dokument von Ende Juni wenig Beachtung, das die Situation mit den Microsoft-365-Apps, also Microsofts Office, ausführlicher erklärt. Bislang war lediglich klar, dass Microsoft die Drei-Jahres-ESU-Version für den Business-Bereich mit Support für MS365-Apps unter Windows 10 mit weiterem Support unterstützt, bis Oktober 2028.

Jetzt erörtert Microsoft jedoch präziser, welcher Versionszweig wie lange Unterstützung erhält. Demnach erhalten Geräte mit Microsoft-365-Apps unter Windows 10 künftig Aktualisierungen, bis Version 2608 erscheint. Der "Current Channel", einschließlich der Versionen für Individuen und Familien, bekommt bis August 2026 Updates. Der monatliche Enterprise-Kanal erhält noch bis Oktober 2026 Softwareflicken, und der halbjährliche (semi-annual) Enterprise-Kanal sogar bis Januar 2027. Die Updates umfassen dann jedoch nur noch Sicherheitsprobleme. Wenn der Support Fehler auf die Nutzung unter Windows 10 zurückzuführen kann, lautet die Lösung, auf Windows 11 zu migrieren.

Dänemark, Frankreich, Griechenland, Italien und Spanien testen als erste EU-Staaten eine im Auftrag der EU-Kommission entwickelte Technik zur Altersverifizierung im Internet. Das hat die Brüsseler Behörde mitgeteilt und erklärt, dass es sich um den "Goldstandard" für die Alterssicherung im Internet handelt. Damit sollen Nutzer und Nutzerinnen online einfach nachweisen können, dass sie mindestens 18 Jahre alt sind, ohne dass die Stelle, gegenüber der sie das tun, mehr über sie erfährt. Gedacht ist das etwa für Pornografie-Portale. Weder die noch irgendjemand sonst soll darüber aber nachverfolgen, sehen oder rekonstruieren können, welche Inhalte die User einsehen.

Die jetzt vorgestellte Anwendung ist laut der EU-Kommission vollständig Open Source, "robust, benutzungsfreundlich, den Datenschutz sichernd und voll kompatibel" zur geplanten europäischen digitalen Brieftasche (EUid). Der Prototyp könne in andere Anwendungen integriert oder alleinstehend genutzt werden. Die fünf Vorreiter würden sich jetzt mit Brüssel austauschen, wie sie bei der Einführung vorgehen wollen, um jeweils nationale Anwendungen zur Überprüfung des Alters von Nutzern und Nutzerinnen veröffentlichen zu können. Gründliche Tests sind demnach etwa mit Pornografie-Plattformen vorgesehen.

Wenn die Technik ausgereift ist, könne sie auch für andere Dienste eingesetzt werden, erklärt Brüssel noch. Vorstellbar sei etwa, dass man damit nachweisen können werde, dass man Alkohol kaufen darf. Wann genau Altersüberprüfungen nötig sind, steht in Leitlinien, die auf Basis des Digital Services Act (DSA) erstellt und die jetzt ebenfalls verfügbar gemacht wurden. Betroffen sind demnach etwa Plattformen, die nicht jugendfreie Inhalte vorhalten und solche, "die ein hohes Risiko für die Sicherheit von Minderjährigen darstellen". Die Methoden der Altersverifizierung sollen demnach "genau, zuverlässig, robust, nicht aufdringlich und nicht diskriminierend sein".

Die vorgesehenen Pflichten treffen bei den Betroffenen nicht auf Gegenliebe, vor allem, weil weder die Plattformen noch die Betreiber von App-Stores dafür zuständig sein wollen. Bedenken wurden beispielsweise bereits von Meta, Google und Apple angemeldet. Aber auch die Anbieter von Pornografie-Portalen haben bereits protestiert. Kritik an den Plänen der Kommission kommt außerdem von zivilgesellschaftlichen und Bürgerrechtsorganisationen. Sie meinen, dass aktuelle Systeme oft nicht effektiv schützen, aber die Privatsphäre untergraben und ein falsches Sicherheitsgefühl vermitteln würden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Auf der Minecraft-Plattform "GommeHD.net" gibt es womöglich eine Sicherheitslücke. Dadurch lassen sich anscheinend Nutzerdaten abgreifen. Ein Beispieldatensatz liegt offen im Netz, die angeblich vollständigen Nutzerdaten stehen auf Telegram zum Verkauf.

Die Angreifer haben einen Beispiel-Datensatz veröffentlicht.

(Bild: heise medien)

Die Beispieldaten umfassen E-Mail-Adresse, Klartext-Passwort (natürlich ist auch "123456" dabei) und einen Usernamen. Woher diese Daten stammen, ist dabei unklar. Es könnte sich um Zugangsdaten für den Minecraft-Server oder das daran angeschlossene Forum handeln. Die Kriminellen schreiben, dass sie die Daten an Have I Been Pwned durchreichen wollen.

Im Forum auf GommeHD beklagen sich seit Sonntag auch schon Nutzerinnen und Nutzer darüber, dass Daten offengelegt wurden. Am Donnerstag der vergangenen Woche hat ein Administrator das Thema jedoch bereits für erledigt erklärt. Man habe versucht, ein Update einzuspielen, was jedoch zu Problemen mit dem Design geführt habe; diese hätte das Team in den Griff bekommen. Ein Entwickler schreibt dazu, dass die Daten wohl woanders herstammen – jeder der Accounts tauche schon auf Have I Been Pwned auf.

Das US-Verteidigungsministerium hat mit Anthropic, Google, OpenAI und xAI Verträge über die Entwicklung agentischer KI-Arbeitsabläufe abgeschlossen, für die jeweils bis zu 200 Millionen US-Dollar fließen können. Parallel dazu hat xAI ein speziell für staatliche Stellen entwickeltes KI-Programm vorgestellt, das dafür sorgen soll, dass Staatsbedienstete die "besten Werkzeuge und Technologien" erhalten. Beide Ereignisse folgen nur eine Woche, nachdem das neue KI-Modell des Unternehmens von Elon Musk mit antisemitischen Ausfällen für Aufsehen gesorgt und sich selbst mehrfach als "MechaHitler" bezeichnet hat. In der Folge wurde der Chatbot auf dem Kurznachrichtendienst X für mehrere Tage abgeschaltet.

Die Verträge mit den vier KI-Unternehmen begründet der KI-Chef im Pentagon jetzt mit dem Ziel, einen strategischen Vorteil gegenüber Gegnern behalten zu wollen. Die Übernahme von KI-Technik verändere grundlegend die Fähigkeit des Pentagon, die Kämpfenden zu unterstützen. Ziel der Verträge sei es, die beste KI-Technik in die verschiedenen Führungsebenen zu bringen. Außerdem sei Forschung zu den Einsatzmöglichkeiten und den Risiken der modernsten KI-Modelle vorgesehen. Den KI-Firmen selbst wiederum soll damit ermöglicht werden, Anforderungen unter Aspekten der nationalen Sicherheit zu verstehen und anzugehen.

Elon Musks KI-Firma xAI nennt das neue Angebot für US-Regierungsstellen jetzt "Grok for Government". In dessen Rahmen sollen lokale, bundesstaatliche und staatliche Stellen die Möglichkeit erhalten, an die neueste KI-Technik zu kommen. Dabei bezieht sich xAI auf Grok 4, dessen Einführung vorige Woche von massiven Problemen begleitet wurde. Die Technik sollen die Behörden direkt über eine staatliche Stelle erwerben können, hinzu kommen spezielle Werkzeuge etwa für die Recherche. Damit und mit den Verträgen des Pentagon werden die Verbindungen zwischen US-Behörden und den größten KI-Firmen nun noch enger.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Sie haben heise+ bereits abonniert? Hier anmelden.

Am Münchner Karlsplatz, auch Stachus genannt, sowie im alten botanischen Garten der bayerischen Landeshauptstadt stehen seit einigen Wochen neue Überwachungsanlagen. Die Polizei München und das bayerische Innenministerium nennen sie "Videotürme", und das ist auch, was die Apparate machen: Sie filmen die Umgebung und sich selbst mit drei Kameras. Die Behörden stellten die Anlagen in der vergangenen Woche erst vor.

Zwei der Kameras an jedem Turm sind PTZ-Geräte (pan/tilt/zoom) des deutschen Anbieters Dallmeier und sitzen nicht in den typischen Kuppeln von Überwachungskameras. Durch die einheitliche schwarze Farbe des PTZ-Mechanismus´ ist von unten mit bloßem Auge jedoch kaum zu erkennen, wohin die Kameras gerade blicken. Eine dritte filmt vom Turm mit einem Fischaugenobjektiv stets senkrecht nach unten.

Wie der Münchner Polizeipräsident Thomas Hampel dem Lokalsender München TV sagte, hat diese Kamera auch die beiden anderen Geräte im Blick und soll so Vandalismus am Videoturm dokumentieren. Zudem besitzen die Wagen, auf denen die Türme montiert sind, laut einer Mitteilung des bayerischen Innenministeriums auch eine nicht genauer beschriebene "Alarmauslösung" – man sollte sich also nicht an ihnen zu schaffen machen.

Die Videotürme sind wie Polizeifahrzeuge gestaltet und entsprechend auffällig.

(Bild: Nico Ernst)

Auf der offiziellen Webseite des Plug-ins GravityForms für das Content-Management-System WordPress haben bösartige Akteure infizierte Fassungen zum Download eingestellt. Die manipulierte Version des mehr als eine Million Mal installierten Plug-ins enthält eine Hintertür, die den Angreifern vollständiges Kompromittieren der WordPress-Instanz ermöglicht.

Laut der IT-Forscher von Patchstack hat der Entdecker des mit Malware versehenen Plug-ins am vergangenen Freitag GravityForms von der offiziellen Webseite "gravityforms.com" heruntergeladen. Das hat jedoch HTTP-Anfragen an die verdächtige Domain gravityapi.com gestellt, die erst am Dienstag vergangener Woche erstellt wurde. Die Anfrage an diese Domain war so langsam, dass die Monitoring-Systeme des Entdeckers darauf ansprangen.

Die Analysten haben einige größere Webhoster kontaktiert und sie nach den Indizien für einen Befall (Indicators of Compromise, IOCs) suchen lassen. Dabei stellte sich heraus, dass die Infektion nicht weit verbreitet ist; das mit Backdoor versehene Plug-in war offenbar nur kurze Zeit verfügbar und wurde nur von wenigen Opfern heruntergeladen. Patchstack hat bei der Untersuchung herausgefunden, dass auch Groundhog von der Supply-Chain-Attacke betroffen ist. Inwiefern es sich in diesem Kontext um Supply-Chain-Angriffe handelt, erörtert Patchstack nicht genauer.

Die Hintertür im GravityForms-Plug-in hat den Angreifern einige Handlungsmöglichkeiten eröffnet. Sie konnten etwa neue Konten mit Administratorrolle anlegen, beliebige Dateien auf den Server hochladen oder Nutzerkonten löschen. Am Samstag hat Patchstack Backdoor-Aktivitäten beobachtet, bei denen die Angreifer einen verschlüsselten Aufruf an den gf_api_token-Parameter geschickt haben.

Die Programmierer des Plug-ins von RocketGenius hat der Entdecker der manipulierten Version ebenfalls kontaktiert. Von dort hat er etwas später Rückmeldung erhalten: Infiziert war die Version 2.9.12 des Plug-ins. Das Plug-in wurde durch eine saubere Variante ersetzt, zunächst ohne die Versionsnummer anzuheben. Das haben die Entwickler dann im Laufe des Freitags nachgeholt und Version 2.9.13 hochgeladen. Die Domain gravityapi.org hat der Domainregistrar Namecheap stillgelegt.

In der UEFI-Firmware zahlreicher Gigabyte-Mainboards klaffen Sicherheitslücken, durch die Angreifer ihre Rechte im System sehr weitreichend ausweiten können. Gigabyte stellt für zahlreiche Mainboards BIOS-Updates bereit, die die Lücken schließen.

Davor warnt aktuell das CERT. Die Schwachstellen betreffen den Systemverwaltungsmodus (System Management Mode, SMM). "Angreifer könnten eine oder mehrere dieser Schwachstellen ausnutzen, um ihre Privilegien zu erhöhen und beliebigen Code in der SMM-Umgebung eines UEFI-unterstützten Prozessors auszuführen", fasst das CERT die Sicherheitslücken zusammen. Der BIOS-Hersteller AMI hat gegenüber dem CERT angedeutet, dass das Unternehmen die Schwachstellen bereits früher nach vertraulichen Meldungen ausgebessert hat, sie nun jedoch in der Gigabyte-Firmware wieder aufgetaucht seien und jetzt öffentlich bekannt gemacht wurden.

UEFI kann direkt mit der Hardware im System Management Mode interagieren, einem hoch-privilegiertem CPU-Modus, der für grundlegende Betriebssystemoperationen gedacht ist – er wird auch als Ring "-2" bezeichnet innerhalb der CPU-Privilegienstufen. Befehle dieser Privilegienstufe laufen in einem geschützten Speicherbereich ab, dem System Management RAM (SMRAM) und sind lediglich durch System Management Interrupts (SMI) erreichbar, erörtert das CERT. Die SMI-Handler dienen als Zugang zum SMM und verarbeiten übergebene Daten über bestimmte Kommunikationspuffer. Unzureichende Prüfung dieser Puffer oder nicht vertrauenswürdige Pointer aus Prozessor-Status-Registern können zu "ernsthaften Sicherheitsrisiken" führen, einschließlich SMRAM-Manipulationen und nicht autorisierter SMM-Ausführung, erklärt das CERT weiter. Angreifer können die SMI-Handler missbrauchen, um beliebigen Code früh im Bootvorgang, in Wiederherstellungsmodi oder bevor das Betriebssystem vollständig geladen ist auszuführen.

In den einzelnen Sicherheitsmitteilungen findet sich der Hinweis der IT-Sicherheitsforscher, dass Code an dieser Stelle auch SMM-basierte Schutzmechanismen des SPI-Flash-Speichers gegen Modifikationen oder Secure-Boot sowie einige Hypervisor-basierte Varianten der Speicherisolierung umgehen kann. Derart eingeschleuster Code übersteht selbst Betriebssystem-Neuinstallationen. Insgesamt vier Sicherheitslücken hat Binarly nun entdeckt und gemeldet.

Einmal die ungeprüfte Nutzung des RBX-Registers, die in SMRAM-Schreibzugriffen mündet (CVE-2025-7029 / EUVD-2025-21142, CVSS 8.2, Risiko "hoch"). Fehlende Prüfung von Funktionszeiger-Strukturen, die aus RBX und RCX abgeleitet werden, ermöglichen Angreifern kritische Flash-Operationen wie ReadFlash, WriteFlash, EraseFlash und GetFlashInfo (CVE-2025-7028 / EUVD-2025-21138, CVSS 8.2, Risiko "hoch"). Zudem ermöglicht eine Kombination aus einer doppelten Pointer-Dereferenzierung, die einen Speicherort für Schreiboperationen aus der ungeprüften NVRAM-Variablen SetupXtuBufferAddress einbezieht sowie das Schreiben von Inhalten aus Speicherbereichen, auf die ein von Angreifern kontrollierbarer Zeiger aus dem RBX-Register verweist, das Schreiben beliebiger Inhalte in den SMRAM (CVE-2025-7027 / EUVD-2025-21141, CVSS 8.2, Risiko "hoch"). Außerdem kommt das von Angreifern kontrollierbare RBX-Register als ungeprüfter Zeiger in der CommandRcx0-Funktion zum Einsatz und ermöglicht damit Schreibzugriffe auf von Angreifern spezifizierbare Bereiche im SMRAM (CVE-2025-7026 / EUVD-2025-21137, CVSS 8.2, Risiko "hoch").

Am Donnerstag der vergangenen Woche hat Fortinet Sicherheitsupdates veröffentlicht – die gravierendste Schwachstelle betrifft FortiWeb. Angreifer können eine SQL-Injection-Schwachstelle in nicht aktualisierten Systemen missbrauchen. IT-Forscher haben als Proof-of-Concept Exploit-Code veröffentlicht. Bösartige Akteure können verwundbare Systeme damit attackieren – IT-Verantwortliche sollten die Updates daher rasch installieren.

Die Sicherheitslücke in FortiWeb ermöglicht nicht angemeldeten Nutzern aus dem Netz, SQL-Befehle mit manipulierten HTTP- oder HTTPS-Anfragen einzuschleusen. Die werden nicht ausreichend von der Web-Application-Firewall (WAF) gefiltert und ermöglichen dadurch den Missbrauch, der Angreifern das Ausführen beliebigen Codes erlaubt (CVE-2025-25257, CVSS 9.6, Risiko "kritisch"). Die FortiWeb-Versionen 7.6.4, 7.4.8, 7.2.11 sowie 7.0.11 und neuere stopfen das Sicherheitsleck und stehen zum Herunterladen bereit.

Detailanalyse und Proof-of-Concept (PoC)

Die IT-Sicherheitsforscher von Watchtowr haben die Sicherheitslücke genauer untersucht. Sarkastisch leiten sie ihre Analyse mit den Worten ein: "Um fair zu bleiben, die Secure-by-Design-Zusicherung hat von Unterzeichnern nicht verlangt, dass sie SQL-Injections vermeiden sollen, daher haben wir nichts zu sagen." Die Secure-by-Design-Kampagne der US-Behörden CISA und FBI hat den SQL-Injections jedoch sogar ein eigenes Dokument mit Empfehlungen und Hilfestellung gewidmet. Dementsprechend ist die Watchtowr-Analyse lang und ausufernd, die Forensiker haben eine Menge zu sagen.

Die Watchtowr-Analysten beschreiben etwa, wie sie sich an das Einschleusen von SQL-Befehlen herangetastet haben, mit einem einfachen Befehl, für fünf Sekunden zu schlafen, und anhand der Antwortzeit den Erfolg ablesen. Trotz vorbereiteter SQL-Abfragen (prepared statements, eine der empfohlenen Maßnahmen, SQL-Injection-Lücken zu vermeiden) auf der FortiWeb-Appliance gelingt ihnen das Einschleusen eigener Befehle.

Die IT-Forensiker von Watchtowr haben dort jedoch nicht aufgehört. "SQL-Injection vor der Authentifizierung am System macht Spaß", schreiben sie, aber "die Achterbahn der Freude beginnt – können wir die MySQL-Injection in Codeausführung aus dem Netz ausweiten?" Und natürlich finden sie einen Weg: Die Anweisung INTO OUTFILE schreibt Inhalte mit den Rechten des Users des MySQL-Prozesses. Das sollte üblicherweise ein eigens angelegter "mysql"-User sein, jedoch frotzeln die Forensiker, dass solche Details zu keiner Zusicherung wie der "Secure by Design" gehören und Fortinet das daher nicht wissen könne – MySQL läuft auf den FortiWeb-Appliances als root (geneigte Leser mögen sich an dieser Stelle ein wohl platziertes "Head->Desk"-Meme vorstellen).

McDonald's bietet seinen Filialen für die Einstellung neuer Mitarbeiter einen KI-Chatbot namens Olivia an, um die Prozesse zu beschleunigen. Dieser Chatbot nervt viele Bewerber nicht nur mit seltsamen Fragen, sondern sammelt auch viele persönliche Daten. Doch die dafür beauftragte KI-Firma Paradox hatte offenbar kein hohes Verständnis von Datenschutz. Sicherheitsforscher konnten sich relativ leicht Zugriff auf die Daten von bis zu 64 Millionen Bewerbern verschaffen. Paradox hat umgehend reagiert und die Sicherheitslücke schnell geschlossen.

Künstliche Intelligenz (KI) ist auch bei der großen Fast-Food-Kette kein Fremdwort mehr. Im März wurde berichtet, dass McDonald's seine Filialen mit KI-Funktionen ausstattet. Und auch beim Einstellungsprozess können die einzelnen Restaurants KI nutzen. Dafür stellt die Zentrale "McHire" bereit, eine Plattform mit dem von Paradox entwickelten KI-Chatbot Olivia. Wer sich für einen Job in einer Filiale von McDonald's bemüht, dürfte in vielen Fällen zunächst mit Olivia sprechen.

Der KI-Chatbot befragt die Bewerber zunächst nach Kontaktinformationen und einem Lebenslauf, bevor ein Persönlichkeitstest durchgeführt wird. Etliche Interessenten berichten bereits von frustrierenden Erfahrungen mit Olivia bei Reddit, was Sicherheitsforscher aufhorchen ließ. Diese testeten den KI-Chatbot zunächst auf mögliche Sicherheitsprobleme, aber konnten keine direkten Angriffspunkte durch manipulierte Anfragen an das Sprachmodell feststellen.

Darauf haben die Sicherheitsforscher versucht, sich bei McHire.com als McDonald's-Filiale einzuloggen, um Zugriff auf das Backend zu bekommen. Dabei haben sie eine ominöse Login-Möglichkeit für Paradox-Mitarbeiter gefunden, die kaum geschützt war. Es gab keine Multifaktor-Authentifizierung und als Kennwort wurde "123456" akzeptiert, schreiben die Sicherheitsforscher im eigenen Blog. Damit hatten sie Administratorzugriff auf ein Test-Restaurant innerhalb von McHire und konnten gleichzeitig auf Daten von Mitarbeitern sowie Bewerbern zugreifen.

Dies ermöglichte Abfragen beliebiger Bewerber. Denn wird die Bewerber-ID, die oberhalb von 64 Millionen lag, manuell geändert, konnten weitere Bewerbungen einschließlich Kontaktinformationen und sogar die entsprechenden Chat-Protokolle abgerufen werden. Die Sicherheitsforscher haben aus Datenschutzgründen nur eine Handvoll Bewerbungen und die dazu gehörenden Daten abgerufen, aber Stichproben bestätigten, dass es sich um reale Personen handelt. Somit waren theoretisch 64 Millionen Bewerberdaten oder sogar mehr verfügbar.